Le Skimming : Tout savoir sur ce piratage silencieux de votre carte bancaire

Imaginez la scène : vous êtes en vacances ou simplement en bas de chez vous. Vous insérez votre carte bancaire dans le distributeur, composez votre code, récupérez vos billets et repartez l’esprit tranquille. Votre carte n’a jamais quitté votre main.

skimming

Pourtant, quelques jours plus tard, votre compte est vidé depuis l’autre bout du monde. Comment est-ce possible ?

Bienvenue dans le monde du Skimming, ou « écrémage » en français. Cette technique de fraude bancaire est l’une des plus redoutables, car elle est invisible. Elle ne repose pas sur la force brute, mais sur une technologie de pointe capable de cloner vos données magnétiques en une fraction de seconde.

Mais le danger ne s’arrête plus au coin de la rue. Avec l’essor du e-commerce, le skimming a muté pour envahir nos navigateurs Web, donnant naissance à une menace encore plus sournoise : le Web Skimming.

Dans cet article, nous allons déchiffrer les mécanismes de ces attaques physiques et numériques, vous apprendre à repérer les pièges invisibles sur les distributeurs de billets et les terminaux de paiement, et vous donner les clés pour sécuriser vos transactions, en ligne comme dans la vie réelle.

Qu’est-ce que le Skimming physique ?

Le skimming est une technique de piratage matériel qui consiste à copier les données de la piste magnétique d’une carte bancaire (et parfois de la puce) à l’insu de son propriétaire.

Pour réussir ce tour de force, les cybercriminels n’ont pas besoin de pirater les serveurs de la banque. Ils installent simplement des dispositifs matériels, appelés skimmers, sur des terminaux légitimes comme :

  • Les Distributeurs Automatiques de Billets (DAB).
  • Les stations-service (automates 24/24).
  • Les bornes de péage ou de parking.
  • Parfois même les Terminaux de Paiement Électronique (TPE) chez les commerçants.

Comment fonctionne un kit de Skimming ?

La sophistication de ces dispositifs est parfois stupéfiante, relevant de l’ingénierie de précision. Une attaque par skimming classique repose sur deux éléments indissociables :

1. La récupération des données (Le Skimmer)

Le pirate superpose un faux lecteur de carte par-dessus la fente d’insertion originale du distributeur. Ce dispositif contient une tête de lecture magnétique, une petite batterie et une mémoire (ou un transmetteur Bluetooth). Lorsque vous insérez votre carte, elle passe d’abord par le skimmer qui « lit » et enregistre les informations de la bande magnétique (nom, numéro de carte, date d’expiration).

2. La récupération du code PIN

Avoir les données de la carte ne suffit pas pour retirer du liquide ; il faut le code secret. Pour l’obtenir, deux méthodes sont utilisées :

  • La micro-caméra : Dissimulée dans une fausse moulure au-dessus de l’écran ou dans un porte-brochures, elle filme vos doigts.
  • Le faux clavier (Keypad overlay) : Un clavier ultrafin est superposé au vrai clavier. Il enregistre les pressions des touches tout en transmettant l’information au distributeur pour que la transaction aboutisse.

Le saviez-vous ? Les skimmers envoient souvent les données volées par SMS ou Bluetooth au pirate garé à proximité, lui évitant de revenir récupérer le matériel et de risquer l’arrestation.

L’évolution de la menace : Du Skimming au « Shimming »

La technologie évolue, et les fraudeurs aussi. Avec la généralisation des cartes à puce (EMV : Europay Mastercard Visa), plus difficiles à cloner que les pistes magnétiques, une nouvelle variante est apparue : le Shimming.

Le « Shimmer » est un circuit imprimé flexible, plus fin qu’une feuille de papier, qui s’insère à l’intérieur du lecteur de carte. Il est totalement invisible de l’extérieur. Il intercepte les communications entre la puce de votre carte et le terminal. Bien que les puces soient sécurisées, des failles dans l’implémentation de certains protocoles bancaires permettent parfois aux pirates de générer des clones magnétiques fonctionnels à partir de ces données.

Zoom Technique : L’e-Skimming et la menace Magecart

Si le skimming physique nécessite de manipuler du matériel, le Web Skimming (aussi appelé Formjacking ou Digital Skimming) est une attaque purement logicielle, souvent associée aux groupes de hackers connus sous le nom de Magecart.

Ici, le champ de bataille n’est plus le distributeur automatique, mais le navigateur de l’utilisateur (Client-side).

Le vecteur d’attaque : La Supply Chain

Contrairement à une idée reçue, les pirates ne s’attaquent pas toujours directement aux serveurs de la boutique en ligne. Ils exploitent une vulnérabilité critique de l’architecture Web moderne : les dépendances tierces (Supply Chain Attack).

Un site e-commerce charge des dizaines de scripts externes : outils d’analyse, chatbots, widgets de réseaux sociaux ou gestionnaires de publicité. Les attaquants compromettent l’un de ces fournisseurs tiers et injectent quelques lignes de code JavaScript malveillant dans leur bibliothèque. Résultat : le script infecté est chargé légitimement par le navigateur de milliers de clients sur le site marchand, sans que le propriétaire du site ne s’en aperçoive.

Comment le script vole-t-il les données ?

Une fois chargé dans le DOM (Document Object Model) de la page de paiement, le script malveillant agit comme un mouchard.

  1. L’Écoute (Event Listeners) : Le script place des « écouteurs » sur les champs de formulaire (<input>) sensibles.
  2. L’Interception : Dès que l’utilisateur remplit les champs ou clique sur « Valider », le script capture les données en clair.
  3. L’Exfiltration : Les données sont envoyées vers un serveur contrôlé par les attaquants (C2 server).

Pourquoi le HTTPS ne protège pas ? C’est la force terrifiante de cette attaque. Le protocole HTTPS chiffre les données lors de leur transport. Or, le script Magecart vole les données directement dans le navigateur, avant qu’elles ne soient chiffrées et envoyées. Le tunnel est sécurisé, mais la source est compromise.

📉 Cas d’école : Le braquage numérique de British Airways

Pour comprendre l’ampleur de la menace, il faut revenir l’affaire British Airways de 2018. Pendant deux semaines, près de 380 000 transactions ont été détournées.

Les pirates ont modifié un script JavaScript existant (une version de la bibliothèque Modernizr) utilisé sur le site de la compagnie. Ils y ont ajouté 22 lignes de code. Ces quelques lignes copiaient les données bancaires et les envoyaient vers un serveur hébergé en Roumanie (baways.com). Résultat : une amende record de 20 millions de livres sterling infligée par l’ICO.

5 indices pour détecter un Skimmer sur un DAB

Avant d’insérer votre carte bancaire, prenez 5 secondes pour observer la machine. Voici les signaux d’alerte :

  1. L’aspect « plastique bon marché » : Si le lecteur de carte semble d’une couleur légèrement différente du reste de la machine.
  2. L’alignement douteux : Des graphismes ou des flèches partiellement cachés par le lecteur de carte.
  3. La résistance : Essayez de bouger légèrement la fente d’insertion. Un vrai lecteur est vissé de l’intérieur. Un skimmer est souvent fixé avec du ruban adhésif double face et bougera si vous le manipulez.
  4. Le clavier épais : Si les touches semblent anormalement hautes ou « spongieuses », méfiance.
  5. Des traces de colle autour des zones sensibles.

Comment se protéger efficacement ?

Il n’existe pas de risque zéro, mais vous pouvez réduire drastiquement les probabilités de fraude :

  • Cachez votre code : C’est la protection la plus simple. Même si votre carte est scannée, sans le code PIN, les pirates ne peuvent pas retirer d’argent.
  • Privilégiez les DAB internes : Les distributeurs situés à l’intérieur des agences bancaires sont plus surveillés que ceux sur le trottoir.
  • Activez les notifications bancaires : Soyez alerté par SMS à chaque transaction.
  • Utilisez le « Sans Contact » (NFC) ou le paiement mobile : Apple Pay ou Google Pay utilisent la tokenisation. Vos vraies coordonnées bancaires ne sont jamais transmises, rendant le skimming traditionnel inopérant.

Conclusion : Une guerre technologique permanente

Le skimming est l’illustration parfaite du jeu du chat et de la souris qui se joue en sécurité informatique. À chaque nouvelle protection bancaire (comme la généralisation de la puce EMV), les cybercriminels répondent par une innovation technique (Shimming, caméras miniatures) ou en déplaçant le champ de bataille vers le web (Magecart).

Que ce soit devant un distributeur de billets ou devant l’écran de votre ordinateur, la leçon reste la même : la technologie ne suffit pas à vous protéger, votre vigilance est indispensable.

En adoptant des réflexes simples — cacher votre code, inspecter les terminaux, utiliser des moyens de paiement tokenisés, vous transformez votre compte bancaire en une forteresse beaucoup moins attractive pour les fraudeurs. Le piratage évolue, mais votre prudence reste votre meilleur pare-feu.

Nombre de vues : 766
Les Infos de Ballajack
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.